3
有一天,我注意到,如果我运行IEInspector的HttpAnalyser并在登录到我的银行帐户或亚马逊帐户时捕获发布数据,发布数据将显示我的用户名和密码。这有点关心。有谁知道SSL加密在什么时候发生?我假设这意味着您的机器上安装的任何软件都可能访问此发布数据。很吓人。SSL真的有多安全?
A
回答
15
这个东西是内置到您的浏览器!浏览器是对文本进行加密的实体,所以它显然具有加密和未加密文本的副本。你所显示的插件可以访问IE所做的一切。
如果您想要真实表示使用什么wireshark。这将读取您的浏览器输出的实际网络流量。
7
安全套接字层 - 它通过套接字(网络/互联网)上的数据加密而不是在本地计算机上。
0
SSL加密肯定会发生在击中网络之前。数据包嗅探器无法获取请求或响应的内容。
IEInspector是否在IE中运行(作为插件)?在这种情况下,它可能会做一些非常讨厌的事情(但是当你安装它时,你同意了)。
2
SSL“通过电线”加密流量。因此,您的计算机和接收服务器之间安全(减去SSL漏洞,就像刚刚发现的新漏洞 - http://twit.tv/sn223)。
如果您的计算机上存在恶意软件,那么您已不再安全。而SSL根本无法帮助你。恶意软件无论如何都可以使用更多的基本攻击,如键盘记录......
2
SSL非常安全。
我认为Thilo已经找到了正确的答案--IEInspector似乎在IE下运行,而不是作为一个单独的工具。我怀疑它能够在之前显示流量它通过SSL堆栈并离开浏览器。
您可以通过下载像Wireshark这样的数据包嗅探器并嗅探来自网卡的流量来证明这种情况。你会看到数据包实际上是加密的,你的登录实际上并不是纯文本的。
1
至于你对SSL的问题,而不是在浏览器中看到你的uid/pwd的问题。总之,SSL很好。最近有一些非常微妙的攻击,但它仍然是一个很好的协议,特别是TLS 1.0和更高版本(TLS是IETF批准的SSL)
但是您需要考虑威胁 - 您想要使用SSL解决哪些问题?如果您担心使用服务器身份验证进行线上篡改检测和保密,那么这很好,只要确保您的客户端和/或服务器不会与弱密码组协商,例如40位或56位RC4或DES ,或MD4等。
如果需要,SSL也可以提供客户端身份验证,但这是可选的。
作为最后的笔记。SSL一般wwaayy比什么都好,你可以设计:)
欢呼声,迈克尔
相关问题
- 1. 具有SSL安全性的GWT
- 2. API安全问题:SSL或更多?
- 3. iframe和SSL安全
- 4. SSL不安全的对象
- 5. SSL第一次没有显示安全
- 6. “safe_eval”是否真的安全?
- 7. iframe有多安全
- 8. PHP有多安全?
- 9. SSH有多安全?
- 10. Elmah有多安全?
- 11. openID有多安全?
- 12. SectionInformation.ProtectSection有多安全?
- 13. 线程安全与SSL + NIO
- 14. 什么使SSL安全?
- 15. SSL和非安全资源
- 16. IceCast SSL证书不安全
- 17. SSL和WCF传输安全
- 18. Android WebView SSL'安全警告'
- 19. Web-api安全性:SSL?
- 20. SSL - 安全和不安全的东西在同一页上
- 21. Cookie默认情况下不安全但安全的SSL
- 22. SSL安全和非安全项目 - WordPress的
- 23. 没有有效的SSL证书,HTTPS连接是否安全?
- 24. $ _SERVER [“HTTP_HOST”]有多安全?
- 25. Facebook连接有多安全?
- 26. 使用Drush有多安全?
- 27. JavaScript加密有多安全
- 28. 使用Maven有多安全?
- 29. 网络有多不安全?
- 30. Authlogic密码有多安全?
我不认为你应该担心这是你的计算机上的数据(恶意软件可能只是捕捉密码,您键入或别的东西)。 SSL(现在的TLS)可以保护传输中的数据。尝试嗅探另一台机器的线路,看看它们是否仍然是明文。 – SapphireSun 2010-02-11 09:12:34
这应该可能是超级用户:D – 2010-02-11 09:15:19
“您计算机上安装的任何软件都可能访问此发布数据” - 正如其他人所说的那样,一旦您在机器上安装了软件,则所有投注都无法使用它可以做什么。这就是为什么你需要小心你的机器上安装了哪些软件。除了iPhone操作系统之外,所有人都讨厌它,因为它被锁定了:/ – 2010-02-11 09:23:45